Zgłoszenie incydentu naruszenia danych osobowych
Zgłoszenie incydentu naruszenia danych osobowych zawiera:
- wskazanie podstawy prawnej obowiązku zgłoszenia incydentu naruszenia danych osobowych w postaci Rozporządzenia Parlamentu Europejskiego i Rady (RODO) (UE) 2016/679 z dnia 27 kwietnia 2016 r.;
- praktyczne komentarze i instrukcje, w celu wyjaśnienia treści dokumentu;
- datę, miejscowość oraz miejsce na podpis administratora / osoby uprawnionej do jego reprezentacji,
- przejrzystą tabelę określającą:
- dane Administratora Danych Osobowych;
- miejsce i datę naruszenia;
- kategorię osób, których dane dotyczą;
- opis charakteru naruszenia ochrony danych;
- środki zastosowane w celu zminimalizowania negatywnych skutków naruszenia ochrony danych;
- punkt kontaktowy.
Zgłoszenie incydentu ochrony danych osobowych – dla kogo?
Takie zgłoszenie dotyczy podmiotów, które przetwarzają dane osobowe i w toku tego przetwarzania doszło do tak zwanego incydentu w zakresie ich ochrony – a więc np. uzyskała do nich dostęp osoba nieuprawniona lub dane wyciekły np. do Internetu. Zgłoszenie będzie więc dotyczyło głównie przedsiębiorców, stowarzyszeń, fundacji i innych podmiotów, które przetwarzają dane osobowe. Jednak nawet jeżeli w takich podmiotach nie doszło do tzw. incydentu, to i tak każdy z podmiotów powinien posiadać wzór takiego zgłoszenia – jest on bowiem częścią dokumentacji wewnętrznej jaką należy wdrożyć aby dostosować organizację swojego przedsiębiorstwa do wymogów przetwarzania danych osobowych narzuconych przez Rozporządzenie Parlamentu Europejskiego i Rady (RODO) (UE) 2016/679 z dnia 27 kwietnia 2016 r. Dokument stanowi jeden z obowiązkowych elementów polityki ochrony danych osobowych, a więc wewnętrznych regulacji w przedsiębiorstwie, które określają normy postępowania jej pracowników oraz współpracowników z zakresu ochrony danych osobowych. Jeżeli jesteś zainteresowany tematyką to wzór polityki prywatności wraz z instrukcją wypełnienia i kompletnym opracowaniem wraz z pozostałymi niezbędnymi dokumentami znajdziesz tutaj.
Kto powinien zgłosić incydent naruszenia ochrony danych osobowych?
Każdy administrator, który stwierdzi, że doszło do incydentu naruszającego bezpieczeństwo danych i powodującego ryzyko naruszenia praw i wolności podmiotów których dotyczą te dane osobowe, musi się liczyć z koniecznością dokonania zgłoszenia. Należy pamiętać, że wyłącznie administratorzy mają obowiązek notyfikacji naruszeń Prezesowi UODO, a podmioty przetwarzające muszą jedynie zawiadomić o zdarzeniu właściwego administratora. Ponadto należy pamiętać, że o incydencie naruszającym bezpieczeństwo danych osobowych należy także poinformować podmiot, którego te da dotyczą.
Zgłoszenie incydentu ochrony danych osobowych jak napisać?
Wystarczy pobrać niniejszy dokument i wypełnić go zgodnie z instrukcją. Prezentowany wzór zawiera wszystkie niezbędne elementy zgłoszenia incydentu naruszenia ochrony danych osobowych. Dokument opatrzony jest komentarzami, które informują, w jaki sposób uzupełnić poszczególne dane i przygotować własny dokument.
Zgłoszenie incydentu ochrony danych osobowych czas na zawiadomienie
Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu powinien być wykonany bez zbędnej zwłoki (art. 34 ust. 1 RODO). Przy obowiązku zgłoszenia naruszenia organowi nadzorczemu okres bezzwłocznej reakcji administratora prawodawca określił – w standardowych wypadkach – jako nie więcej niż 72 godziny.
O jakich naruszeniach trzeba zawiadomić Prezesa UODO?
W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.
Warto dodać, że więcej informacji dotyczących oceny ryzyka można znaleźć w dwuczęściowym poradniku Prezesa UODO dostępnym pod adresem:
https://uodo.gov.pl/pl/123/208
W jaki sposób zawiadomić prezesa UODO o naruszeniu?
- Zgłoszenia można dokonać za pomocą formularza dostępnego na stronie uodo.gov.pl na 4 sposoby: Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl
- Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP
- Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
- Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.
Zgłoszenie incydentu ochrony danych osobowych kto podpisuje?
Dokument ten powinien zostać sporządzony oraz podpisany przez administratora albo przez osobę uprawnioną do jego reprezentacji.
Zgłoszenie incydentu ochrony danych osobowych co powinno zawierać?
Niniejszy dokument zawiera wszystkie niezbędne elementy zgłoszenia incydentu naruszenia ochrony danych osobowych. Do niezbędnych elementów zgodnie z przepisami RODO należy:
- opis charakteru naruszenia ochrony danych osobowych, a więc wskazania w jaki sposób dane zostały naruszone – czy ktoś je wykradł, czy może upublicznił w sieci?
- W miarę możliwości zgłoszenie powinno zawierać wskazanie kategorii naruszonych danych (a więc np. czy to są adresy e-mail, czy może imiona i nazwiska) i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie,
- wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych, a więc należy opisać jakie są potencjalne skutki incydentu i związanego z nim naruszenia danych osobowych,
- wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Należy pamiętać, aby opis charakteru naruszenia był na tyle szczegółowy i jasny, aby organ nadzorczy mógł ocenić całość zdarzenia i podjąć skuteczne działania. Zbyt ogólnikowa i lakoniczna informacja nie pozwala organowi nadzorczemu na podjęcie szybkich i właściwych działań mających na celu ochronę praw i wolności osób fizycznych. Przede wszystkim należy pamiętać, aby poinformować organ nadzorczy o zastosowanych środkach zaradczych (np. czy stosowano metody szyfrowania w bazie danych zawierającej dane osobowe, a jeśli tak, to jakie to były metody szyfrowania).
Brak zgłoszenia incydentu ochrony danych osobowych – jakie konsekwencje?
Przepisy RODO obciążają przedsiębiorców szeregiem obowiązków z zakresu ochrony danych osobowych, do których należy m.in. zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych. Należy wskazać, że nie każde naruszenie będzie wymagało zgłoszenia organowi nadzorczemu – co do zasady zgłoszeniu podlegają jedynie te naruszenia, które powodują wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
Niezawiadomienie osoby, której dana dotyczą lub organu o incydencie powodującym wysokie ryzyko naruszenia praw lub wolności może być podstawą do nałożenia na administratora kary pieniężnej w wysokości do 10 mln euro lub do 2% całkowitego rocznego obrotu światowego – w przypadku przedsiębiorstwa (art. 83 ust. 4 RODO) za:
- przetwarzanie danych osobowych osób nieletnich bez zgody ich rodziców lub opiekunów (art. 8);
- nieprzestrzeganie zasady privacy by design, czyli takiego planowania procesów przetwarzania danych osobowych, aby od początku zapewniały one ich bezpieczeństwo i poufność (art. 25);
- brak rejestru czynności przetwarzania, zawierającego informacje takie jak dane administratora danych, cel przetwarzania, techniczne i organizacyjne środki bezpieczeństwa i inne (art. 30);
- zaniedbanie bezpieczeństwa przetwarzania danych osobowych (art. 32);
- niezgłoszenie naruszeń organowi nadzorczemu lub niepowiadomienie osoby, której dane dotyczą (art. 33 i 34);
- brak wyznaczenia inspektora ochrony danych — jeśli jest taka konieczność (art. 37).
Drugi próg kary wynosi do 20 milionów euro lub 4% rocznego obrotu firmy – przyznawany jest za dopuszczenie się poniższych naruszeń:
- nieprzestrzeganie podstawowych zasad przetwarzania danych osobowych (art. 5);
- brak podstawy prawnej pozwalającej na gromadzenie i przetwarzanie danych osobowych (art. 6);
- nieuzyskanie zgody od osoby na przetwarzanie jej danych lub uniemożliwienie jej wycofania w dowolnym momencie (art. 7);
- przetwarzanie szczególnych kategorii danych osobowych — np. pochodzenie rasowe, etniczne, przekonania religijne, poglądy polityczne i pozostałe (art. 9);
- ukrywanie informacji o celu przetwarzania danych, fakcie przekazywania ich innym podmiotom (art. 12);
- niespełnienie obowiązku informacyjnego wobec osoby, której dane są przetwarzane (art. 13 do 15);
- uniemożliwienie skorzystania z „prawa do bycia zapomnianym” — prawa do żądania usunięcia wszystkich przechowywanych przez administratora danych osobowych (art. 17);
- naruszenia w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych (rozdział V);
- naruszenia w kwestii przetwarzania danych osobowych a swobody wypowiedzi, dostępu do dokumentów urzędowych, rekrutacji itp. (rozdział IX).
Zgłoszenie incydentu naruszenia danych osobowych
Reviews
There are no reviews yet.
Reviews
There are no reviews yet.